Czego uczy administratorów danych osobowych decyzja o ukaraniu KSSiP?

Za co PUODO ukarał KSSiP

Wszyscy już oczywiście wiedzą o ukaraniu przez Prezesa Urzędu Ochrony Danych Osobowych Krajowej Szkoły Sądownictwa i Prokuratury z siedzibą w Krakowie karą 100 000,00 zł za naruszenie art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 28 ust. 3, art. 32 ust. 1 i 2 RODO . Do naruszenia doszło poprzez:

  1. niezastosowanie odpowiednich środków technicznych i organizacyjnych mających zapewnić zdolność do ciągłego zapewnienia poufności usług przetwarzania,
  2. brak przetestowania i oceny skuteczności środków technicznych i organizacyjnych, mających na celu zapewnienie bezpieczeństwa danych osobowych znajdujących się w kopii bazy danych platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury, a tym samym niewłaściwe uwzględnienie ryzyka związanego ze zmianami w procesie przetwarzania,
  3. powierzenie przetwarzania danych osobowych z naruszeniem art. 28 ust. 3 rozporządzenia 2016/679, tj.:
    • bez umownego zobowiązania podmiotu przetwarzającego do przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora,
    • bez określenia kategorii osób w umowie powierzenia przetwarzania danych osobowych,
    • bez wskazania rodzaju powierzanych danych.

Całość uzasadnienia i okoliczności można przeczytać w tej Decyzji PUODO

Wnioski dla administratorów danych osobowych

Powyższa decyzja wyraźnie wskazuje na pewne luki w postępowaniu administratorów danych osobowych. Domyślam się, że czytający ten wpis administratorzy, pracownicy odpowiadający za bezpieczeństwo informacji, IODowie, rozmyślają teraz czy ocenili wszystkie zagrożenia przy ostatnim wdrożeniu, niektórzy nawet zastanawiają czy w ogóle cokolwiek oceniali… I to jest pierwsza luka, którą obnaża ta decyzja.

Brak prawidłowej oceny możliwych ryzyk, identyfikacji zagrożeń i podatności oraz efektywnego ich ‘zneutralizowania’.

Niestety jest to słabość większości. Szczególnie jeżeli chodzi o zawiłe sytuacje związane z przetwarzaniem danych osobowych w systemach informatycznych i to przy udziale kilku podmiotów.
W takich sytuacjach analiza ryzyka wymaga zaangażowania wszystkich podmiotów biorących udział w przetwarzaniu. Oczywiście najistotniejszą rolę odgrywa administrator danych osobowych.
Jego głównym zadaniem jest stworzenie szczegółowej mapy zadań, opisującej poszczególne etapy wraz z zaangażowanymi zasobami (personel, obszar, dość szczegółowo sprzęt i oprogramowanie, itd.). Istotnym elementem jest także wskazanie osób odpowiedzialnych za zamknięcie poszczególnych etapów realizowanych zadań i osób odpowiedzialnych za poszczególne zasoby. Tylko te osoby będą prawidłowo potrafiły wskazać zagrożenia i podpowiedzą jak im zaradzić.

W procesie zarządzania ryzykiem rolą administratora jest:

wskazanie osób, które znają wykorzystywane w planowanym procesie przetwarzania narzędzia i potrafią wskazać ryzyka i możliwe zabezpieczenia,

podjęcie decyzji o zastosowaniu odpowiednich środków technicznych i organizacyjnych na podstawie zgromadzonej wiedzy, oraz podjęcie ostatecznej decyzji o sposobie realizacji projektu i osobach odpowiedzialnych za monitorowanie zaprojektowanych zabezpieczeń.

To po to jest obowiązek wynikający z art. 25 RODO. Oceń nowe zadanie i zaplanuj je tak, żeby było bezpiecznie i zgodnie z zasadami przetwarzania danych.

Brak testowania i oceny skuteczności środków technicznych i organizacyjnych

Kolejną, baaaaardzo często spotykaną luką, jest brak sprawdzania siły stosowanych zabezpieczeń. Zadanie jest proste dla zabezpieczeń organizacyjnych i fizycznych. Podczas czynności monitorujących sprawdzamy czy dany mechanizm jest stosowany i czy jest skuteczny. Łatwo sprawdzić czy szkolimy pracowników (tak, szkolenia to element naszego bezpieczeństwa). Łatwo też sprawdzić, czy pracownicy mają nadawane prawidłowo uprawnienia w systemach i czy odbierane są one po zakończeniu współpracy. Możemy też wykonać test alarmu do pomieszczeń, a nawet test czasu reakcji drużyny z firmy ochroniarskiej. W zakresie IT sprawdzimy skuteczność UPSów, czy mamy aktualizowane na bieżąco oprogramowanie, czy na każdej jednostce zainstalowaliśmy program AV i firewall, czy wykonywane są kopie zapasowe i czy możemy je odtworzyć, itd.

Trudności zaczynają się kiedy musimy sprawdzić skuteczność naszych zabezpieczeń IT. Żeby wykonać taką czynność warto skorzystać z pomocy fachowca, który będzie znał podatności podłączonych do naszej infrastruktury teleinformatycznej urządzeń (komputerów i ich podzespołów, routerów, krosownic, serwerów, smartphone’ów, urządzeń brzegowych, drukarek sieciowych, a nawet telewizorów lub inteligentnych żarówek).
Żeby zrobić test bezpieczeństwa IT z wysokim poziomem skuteczności identyfikacji słabości, myślę że trzeba słono zapłacić.
Oczywiście jest też tanie rozwiązanie. Bezpłatne programy, które pozwolą sprawdzić stan bezpieczeństwa naszej sieci i podłączonych do niej urządzeń. Myślę, że większość informatyków lub bardziej ogarniętych informatycznie osób poradzi sobie z uruchomieniem takiego programu. (wiem, wiem, pewnie większość teraz myśli, że to niebezpieczne, tylko ja piszę o wyszukiwaniu podatności/słabości, a nie o symulowanym ataku). Pewnie, że efekt naszej pracy to nie będzie szczyt marzeń, ale zawsze zrobimy krok do przodu. Będziemy mieli (anglojęzyczny) raport ze słabościami i propozycje ich naprawy, nic tylko zabrać się do łatania dziur.

Administrator musi testować i oceniać skuteczność stosowanych mechanizmów organizacyjnych i technicznych.
Wykonując czynności monitorujące sprawdzajcie nie tylko fakt istnienia mechanizmów, ale też ich skuteczność. Przygotujcie ankiety do oceny szkoleń. Sprawdźcie ile ‘klików’ ma hasło pracownika – jeżeli w procedurze żądacie 10 znaków klików ma być co najmniej 10.
Pamiętajcie, żeby ocenić także zabezpieczenia wpisane w analizie ryzyka, a nie tylko mechanizmy z polityk.

I koniecznie przymierzcie się do sprawdzenia odporności swoich zasobów IT, choćby bezpłatnym programem. Może uda zaplanować się w budżecie/planie finansowym środki na zlecenie zadania profesjonalistom?

Zbyt szablonowe podejście do umów powierzenia przetwarzania.

Przyzwyczailiśmy się do stosowania szablonów umów powierzenia przetwarzania danych osobowych. Każdy ma swój dopracowany wzór. Tylko czy ten wzór spełni oczekiwania PUODO i będzie zgodny z duchem RODO?
Zwróćcie uwagę jak rzadko wpisujecie szczególne wymagania procesorom, jak rzadko są one nakładane na Was? Najlepszymi przykładami są umowy powierzenia przetwarzania generowane z systemów chyba wszystkich dużych hostingodawców. Trzy kliki, kilka słów i gotowe. I kto tu ustala zasady?

Analizując to co wyżej napisałem, na pewno już widzicie, że w umowach powierzenia lub w umowach głównych warto określać konkretnie jakich zabezpieczeń i jakich metod przetwarzania wymagamy. Oczywiście żebyśmy mogli to zrobić musimy najpierw rozplanować całe zadanie, zidentyfikować niezbędne zasoby, zagrożenia i zabezpieczenia.
W końcu musimy określić na jakie czynności pozwalamy procesorowi, oraz wskazać, że wszystkie pozostałe działania wymagają pisemnego polecenia administratora danych osobowych.

Inną wadą, na którą wskazał PUODO w decyzji nakładającej karę na KSSiP, jest brak określenia podmiotów i rodzajów powierzanych danych. Można to zrobić precyzyjnie dla danych księgowych. A co z pocztą email? Tu powinniśmy wskazać jedynie taki zakres danych, które wynikają z planowanej poprzez email komunikacji związanej z działalnością administratora danych osobowych. Jednak tak na prawdę nie mamy pojęcia co do tej poczty zostanie nam przesłane.

Administrator, nawiązując współpracę z podmiotem przetwarzającym powinien jasno określić na jaki sposób przetwarzania zezwala oraz jakich oczekuje zabezpieczeń. Niezbędne jest także wskazanie czyje dane osobowe i w jakim zakresie są powierzane. Warto też określić sposób komunikacji z podmiotem przetwarzającym.
I najważniejsze: administrator musi rozumieć w jaki sposób, w jakim celu i w jakim zakresie podmiot przetwarzający wykonuje swoje zadania. 

Podsumowanie

A miało być tak pięknie po wejściu w życie RODO… wszystko w naszych rękach. Proste, bo dopasowane do naszych wymagań procedury. Minimalizacja biurokracji do minimum. I co?

I w końcu RODO zmusiło nas do spojrzenia na rzeczywistość w sposób świadomy. Już nie możemy powiedzieć: stosuję hasło 8 znakowe bo tak jest w przepisie. Teraz musimy udowodnić, że stosowanie takiego hasła dla pewnego zakresu danych osobowych przetwarzanych w systemie jest wystarczające.

To, czego się uczymy to zarządzanie procesowe. Koniecznie musimy zacząć zarządzać procesowo czynnościami przetwarzania. Dzięki temu zobaczymy wszystkie etapy i narzędzia służące przetwarzaniu. To natomiast pozwoli nam przypisać odpowiedzialność właściwym osobom, zlokalizować faktyczne ryzyka i zaplanować dla nich zabezpieczenia.

Powodzenia.